CN107911215A - 一种hsm密钥的验证方法及装置 - Google Patents
一种hsm密钥的验证方法及装置 Download PDFInfo
- Publication number
- CN107911215A CN107911215A CN201711163131.1A CN201711163131A CN107911215A CN 107911215 A CN107911215 A CN 107911215A CN 201711163131 A CN201711163131 A CN 201711163131A CN 107911215 A CN107911215 A CN 107911215A
- Authority
- CN
- China
- Prior art keywords
- key
- hsm
- tpe
- ciphertext
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种HSM密钥的验证方法及装置,方法通过获取密钥密文和密钥类型,及判断密钥类型库中是否存在密钥类型,若密钥类型库中存在密钥类型,则调用密钥类型对应的指令,并将密钥密文和密钥类型对应的指令封装成类型库组指令报文,及将类型库组指令报文发送至HSM,及接收HSM针对类型库组指令报文返回的应答报文,及拆分应答报文,得到拆分结果,及判断拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与密钥类型库匹配,及拆分结果中的HSM指令返回码是否与密钥密文匹配,若均匹配,则确定密钥密文正确,实现了密钥密文的验证。
Description
技术领域
本申请涉及信息安全技术领域,特别涉及一种HSM密钥的验证方法及装置。
背景技术
在大型复杂的应用系统中,一般通过使用HSM(硬加密机)实现系统可靠的安全性。使用HSM(硬加密机)实现系统可靠的安全性的关键因素之一为:HSM密钥密文的配置。
目前大型应用系统一般通过人工进行HSM密钥密文的配置,但是由于人工配置的方式准确率低。因此需要对配置的HSM密钥密文进行验证。但如何进行HSM密钥密文的验证成为问题。
发明内容
为解决上述技术问题,本申请实施例提供一种HSM密钥的验证方法及装置,以达到实现密钥密文的验证的目的,技术方案如下:
一种HSM密钥的验证方法,包括:
获取密钥密文和密钥类型;
判断密钥类型库中是否存在所述密钥类型;
若所述密钥类型库中存在所述密钥类型,则调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文;
将所述类型库组指令报文发送至HSM;
接收所述HSM针对所述类型库组指令报文返回的应答报文;
拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码;
判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配;
若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中的HSM指令返回码与所述密钥密文匹配,则确定所述密钥密文正确。
优选的,确定所述密钥密文正确之后,还包括:
显示密钥密文正确的提示信息。
优选的,所述拆分结果还包括:密文校验值;
所述方法还包括:
核对所述密文校验值是否与信封值一致;
若所述密文校验值与所述信封值一致,则输出所述密钥校验值。
优选的,所述方法还包括:
若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库不匹配或所述拆分结果中的HSM指令返回码与所述密钥密文不匹配,则确定所述密钥密文不正确。
优选的,所述方法还包括:
显示所述密钥密文不正确的提示信息。
一种HSM密钥的验证装置,包括:
获取模块,用于获取密钥密文和密钥类型;
第一判断模块,用于判断密钥类型库中是否存在所述密钥类型,若所述密钥类型库中存在所述密钥类型,则执行封装模块;
所述封装模块,用于调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文;
发送模块,用于将所述类型库组指令报文发送至HSM;
接收模块,用于接收所述HSM针对所述类型库组指令报文返回的应答报文;
拆分模块,用于拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码;
第二判断模块,用于判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配,若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中的HSM指令返回码与所述密钥密文匹配,则执行第一确定模块;
所述第一确定模块,用于确定所述密钥密文正确。
优选的,还包括:
第一显示模块,用于显示密钥密文正确的提示信息。
优选的,所述拆分结果还包括:密文校验值;
所述装置还包括:
核对模块,用于核对所述密文校验值是否与信封值一致,若所述密文校验值与所述信封值一致,则执行输出模块;
所述输出模块,用于输出所述密钥校验值。
优选的,所述装置还包括:
第二确定模块,用于若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库不匹配或所述拆分结果中的HSM指令返回码与所述密钥密文不匹配,则确定所述密钥密文不正确。
优选的,所述装置还包括:
第二显示模块,用于显示所述密钥密文不正确的提示信息。
与现有技术相比,本申请的有益效果为:
在本申请中,通过获取密钥密文和密钥类型,及判断密钥类型库中是否存在所述密钥类型,若所述密钥类型库中存在所述密钥类型,则调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文,及将所述类型库组指令报文发送至HSM,及接收所述HSM针对所述类型库组指令报文返回的应答报文,及拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码,及判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配,若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中的HSM指令返回码与所述密钥密文匹配,则确定所述密钥密文正确,实现了密钥密文的验证。
进一步的,通过判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配,实现对密钥密文进行多维度的验证,提高了验证的可靠性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请提供的HSM密钥的验证方法的一种流程图;
图2是本申请提供的HSM密钥的验证方法的另一种流程图;
图3是本申请提供的HSM密钥的验证方法的再一种流程图;
图4是本申请提供的HSM密钥的验证方法的再一种流程图;
图5是本申请提供的HSM密钥的验证方法的再一种流程图;
图6是本申请提供的HSM密钥的验证装置的一种逻辑结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例公开了一种HSM密钥的验证方法,通过获取密钥密文和密钥类型,及判断密钥类型库中是否存在所述密钥类型,若所述密钥类型库中存在所述密钥类型,则调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文,及将所述类型库组指令报文发送至HSM,及接收所述HSM针对所述类型库组指令报文返回的应答报文,及拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码,及判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配,若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中的HSM指令返回码与所述密钥密文匹配,则确定所述密钥密文正确,实现了密钥密文的验证。
接下来对本申请实施例公开的HSM密钥的验证方法进行介绍,请参见图1,可以包括:
步骤S11、获取密钥密文和密钥类型。
本实施例中,可以设置终端主控模块,终端主控模块由密钥密文终端显示页面和主控制单元构成。密钥密文终端显示页面负责输入和输出。输入则可以为录入密钥密文和密钥类型。
可以理解的是,可以在密钥密文终端显示页面录入密钥密文和密钥类型。主控制单元则可以从密钥密文终端显示页面获取录入的密钥密文和密钥类型。
密钥密文可以理解为:将密钥明文录入HSM,HSM对密钥明文加密后产生的密文。
密钥类型可以理解为:密钥密文的类型。
步骤S12、判断密钥类型库中是否存在所述密钥类型。
若存在,则执行步骤S13。
本实施例中,密钥类型库可以存储密钥类型、密钥奇偶性和密钥类型对应的HSM指令集。
其中,密钥类型可以以编码的形式存储,使每种类型的密钥均有唯一的标识。例如,密钥类型为402型的CVK,则编码可以为CVK_402。
步骤S13、调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文。
步骤S14、将所述类型库组指令报文发送至HSM。
步骤S15、接收所述HSM针对所述类型库组指令报文返回的应答报文。
所述HSM接收到所述类型库组指令报文后,可以对所述类型库组指令报文进行解析,得到所述密钥密文和所述密钥类型对应的指令,并按照所述密钥类型对应的指令,通过HSM反算密钥密文信息对所述密钥密文进行解密、密钥类型识别、密钥奇偶性识别、HSM指令集版本识别和密钥校验值识别,得到密钥密文、密钥类型、密钥奇偶性、HSM指令集版本和密钥校验值,并按照所述密钥类型对应的指令所指定的格式将所述密钥密文、密钥类型、密钥奇偶性、HSM指令集版本和密钥校验值中的一种或多种封装成应答报文。
需要说明的是,密钥校验值可以反应出录入的密钥密文是否与原密钥明文一致,且能检查无规则的密文是否录入正确。密钥类型与密钥奇偶性可以反应出录入的密钥密文与通讯的HSM是否匹配、与应用系统所使用的指令是否匹配。
步骤S16、拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码。
本实施例中,HSM指令返回码可以理解为拆分所述应答报文所得到的密文。
步骤S17、判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配。
若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中HSM指令返回码与所述密钥密文匹配,则执行步骤S18。
步骤S18、确定所述密钥密文正确。
在本申请中,通过获取密钥密文和密钥类型,及判断密钥类型库中是否存在所述密钥类型,若所述密钥类型库中存在所述密钥类型,则调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文,及将所述类型库组指令报文发送至HSM,及接收所述HSM针对所述类型库组指令报文返回的应答报文,及拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码,及判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配,若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中的HSM指令返回码与所述密钥密文匹配,则确定所述密钥密文正确,实现了密钥密文的验证。
进一步的,通过判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配,实现对密钥密文进行多维度的验证,提高了验证的可靠性。
在本申请的另一个实施例中,提供了另外一种HSM密钥的验证方法,请参见图2,可以包括以下步骤:
步骤S21、获取密钥密文和密钥类型。
步骤S22、判断密钥类型库中是否存在所述密钥类型。
若存在,则执行步骤S23。
步骤S23、调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文。
步骤S24、将所述类型库组指令报文发送至HSM。
步骤S25、接收所述HSM针对所述类型库组指令报文返回的应答报文。
步骤S26、拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码。
步骤S27、判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配。
若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中的HSM指令返回码与所述密钥密文匹配,则执行步骤S28。
步骤S28、确定所述密钥密文正确。
步骤S21-S28与前述实施例的步骤S11-S18相同,步骤S21-S28的详细过程可以参见前述实施例的步骤S11-S18,在此不再赘述。
步骤S29、显示密钥密文正确的提示信息。
本实施例中,在前述步骤确定所述密钥密文正确之后,密钥密文终端显示页面可以实时的显示密钥密文正确的提示信息,实时反馈密钥密文是否准确,提高密钥密文的可靠性。
在本申请的另一个实施例中,对前述实施例中的步骤S16中的拆分结果进行进一步介绍,具体如下:
所述拆分结果还可以包括:密文校验值。
在所述拆分结果还包括:密文校验值的情况下,HSM密钥的验证方法的实施方式可以参见图3,可以包括以下步骤:
步骤S31、获取密钥密文和密钥类型。
步骤S32、判断密钥类型库中是否存在所述密钥类型。
若存在,则执行步骤S33。
步骤S33、调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文。
步骤S34、将所述类型库组指令报文发送至HSM。
步骤S35、接收所述HSM针对所述类型库组指令报文返回的应答报文。
步骤S26、拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码。
步骤S37、判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配。
若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中的HSM指令返回码与所述密钥密文匹配,则执行步骤S38。
步骤S38、确定所述密钥密文正确。
步骤S31-S38与前述实施例的步骤S11-S18相同,步骤S31-S38的详细过程可以参见前述实施例的步骤S11-S18,在此不再赘述。
步骤S39、核对所述密文校验值是否与信封值一致。
若一致,则执行步骤S310。
本实施例中,信封值可以包括密钥密文及密钥密文对应明文的校验值。
步骤S310、输出所述密钥校验值。
在本申请的另一个实施例中,提供了另外一种HSM密钥的验证方法,请参见图4,可以包括以下步骤:
步骤S41、获取密钥密文和密钥类型。
步骤S42、判断密钥类型库中是否存在所述密钥类型。
若存在,则执行步骤S43。
步骤S43、调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文。
步骤S44、将所述类型库组指令报文发送至HSM。
步骤S45、接收所述HSM针对所述类型库组指令报文返回的应答报文。
步骤S46、拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码。
步骤S47、判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配。
若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中的HSM指令返回码与所述密钥密文匹配,则执行步骤S48;若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库不匹配或所述拆分结果中的HSM指令返回码与所述密钥密文不匹配,则执行步骤S49。
步骤S48、确定所述密钥密文正确。
步骤S41-S48与前述实施例的步骤S11-S18相同,步骤S41-S48的详细过程可以参见前述实施例的步骤S11-S18,在此不再赘述。
步骤S49、确定所述密钥密文不正确。
在本申请的另一个实施例中,提供了另外一种HSM密钥的验证方法,请参见图5,可以包括以下步骤:
步骤S51、获取密钥密文和密钥类型。
步骤S52、判断密钥类型库中是否存在所述密钥类型。
若存在,则执行步骤S53。
步骤S53、调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文。
步骤S54、将所述类型库组指令报文发送至HSM。
步骤S55、接收所述HSM针对所述类型库组指令报文返回的应答报文。
步骤S56、拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码。
步骤S57、判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配。
若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中的HSM指令返回码与所述密钥密文匹配,则执行步骤S58;若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库不匹配或所述拆分结果中的HSM指令返回码与所述密钥密文不匹配,则执行步骤S59。
步骤S58、确定所述密钥密文正确。
步骤S59、确定所述密钥密文不正确。
步骤S51-S59与前述实施例的步骤S41-S49相同,步骤S51-S59的详细过程可以参见前述实施例的步骤S41-S49,在此不再赘述。
步骤S510、显示所述密钥密文不正确的提示信息。
本实施例中,在前述步骤确定所述密钥密文不正确之后,密钥密文终端显示页面可以实时的显示密钥密文不正确的提示信息,实时反馈密钥密文是否准确,提高密钥密文的可靠性。
下面对本申请实施例提供的HSM密钥的验证装置进行描述,下文描述的HSM密钥的验证装置与上文描述的HSM密钥的验证方法可相互对应参照。
请参见图6,其示出了本申请提供的HSM密钥的验证装置的一种逻辑结构示意图,HSM密钥的验证装置包括:获取模块11、第一判断模块12、封装模块13、发送模块14、接收模块15、拆分模块16、第二判断模块17和第一确定模块18。
获取模块11,用于获取密钥密文和密钥类型。
第一判断模块12,用于判断密钥类型库中是否存在所述密钥类型,若所述密钥类型库中存在所述密钥类型,则执行封装模块13。
所述封装模块13,用于调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文。
发送模块14,用于将所述类型库组指令报文发送至HSM。
接收模块15,用于接收所述HSM针对所述类型库组指令报文返回的应答报文。
拆分模块16,用于拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码。
第二判断模块17,用于判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配,若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中的HSM指令返回码与所述密钥密文匹配,则执行第一确定模块18。
所述第一确定模块18,用于确定所述密钥密文正确。
本实施例中,上述HSM密钥的验证装置还可以包括:第一显示模块,用于显示密钥密文正确的提示信息。
本实施例中,所述拆分结果还可以包括:密文校验值。
相应的,上述HSM密钥的验证装置还可以包括:核对模块,用于核对所述密文校验值是否与信封值一致,若所述密文校验值与所述信封值一致,则执行输出模块;
所述输出模块,用于输出所述密钥校验值。
本实施例中,上述HSM密钥的验证装置还可以包括:第二确定模块,用于若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库不匹配或所述拆分结果中的HSM指令返回码与所述密钥密文不匹配,则确定所述密钥密文不正确。
在上述HSM密钥的验证装置还包括第二确定模块的基础上,上述HSM密钥的验证装置还可以包括:第二显示模块,用于显示所述密钥密文不正确的提示信息。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
以上对本申请所提供的一种HSM密钥的验证方法及装置进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种HSM密钥的验证方法,其特征在于,包括:
获取密钥密文和密钥类型;
判断密钥类型库中是否存在所述密钥类型;
若所述密钥类型库中存在所述密钥类型,则调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文;
将所述类型库组指令报文发送至HSM;
接收所述HSM针对所述类型库组指令报文返回的应答报文;
拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码;
判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配;
若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中的HSM指令返回码与所述密码密文匹配,则确定所述密钥密文正确。
2.根据权利要求1所述的方法,其特征在于,确定所述密钥密文正确之后,还包括:
显示密钥密文正确的提示信息。
3.根据权利要求1所述的方法,其特征在于,所述拆分结果还包括:密文校验值;
所述方法还包括:
核对所述密文校验值是否与信封值一致;
若所述密文校验值与所述信封值一致,则输出所述密钥校验值。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库不匹配或所述拆分结果中的HSM指令返回码与所述密钥密文不匹配,则确定所述密钥密文不正确。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
显示所述密钥密文不正确的提示信息。
6.一种HSM密钥的验证装置,其特征在于,包括:
获取模块,用于获取密钥密文和密钥类型;
第一判断模块,用于判断密钥类型库中是否存在所述密钥类型,若所述密钥类型库中存在所述密钥类型,则执行封装模块;
所述封装模块,用于调用所述密钥类型对应的指令,并将所述密钥密文和所述密钥类型对应的指令封装成类型库组指令报文;
发送模块,用于将所述类型库组指令报文发送至HSM;
接收模块,用于接收所述HSM针对所述类型库组指令报文返回的应答报文;
拆分模块,用于拆分所述应答报文,得到拆分结果,所述拆分结果包括:密钥类型、密钥奇偶性、HSM指令集版本和HSM指令返回码;
第二判断模块,用于判断所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本是否与所述密钥类型库匹配,及所述拆分结果中的HSM指令返回码是否与所述密钥密文匹配,若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库匹配且所述拆分结果中的HSM指令返回码与所述密钥密文匹配,则执行第一确定模块;
所述第一确定模块,用于确定所述密钥密文正确。
7.根据权利要求6所述的装置,其特征在于,还包括:
第一显示模块,用于显示密钥密文正确的提示信息。
8.根据权利要求6所述的装置,其特征在于,所述拆分结果还包括:密文校验值;
所述装置还包括:
核对模块,用于核对所述密文校验值是否与信封值一致,若所述密文校验值与所述信封值一致,则执行输出模块;
所述输出模块,用于输出所述密钥校验值。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二确定模块,用于若所述拆分结果中的密钥类型、密钥奇偶性和HSM指令集版本与所述密钥类型库不匹配或所述拆分结果中的HSM指令返回码与所述密钥密文不匹配,则确定所述密钥密文不正确。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第二显示模块,用于显示所述密钥密文不正确的提示信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711163131.1A CN107911215B (zh) | 2017-11-21 | 2017-11-21 | 一种hsm密钥的验证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711163131.1A CN107911215B (zh) | 2017-11-21 | 2017-11-21 | 一种hsm密钥的验证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107911215A true CN107911215A (zh) | 2018-04-13 |
| CN107911215B CN107911215B (zh) | 2020-09-29 |
Family
ID=61846874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711163131.1A Active CN107911215B (zh) | 2017-11-21 | 2017-11-21 | 一种hsm密钥的验证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107911215B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103516511A (zh) * | 2013-09-11 | 2014-01-15 | 国家电网公司 | 一种对加密算法与密钥进行检测的方法及装置 |
| CN104025500A (zh) * | 2011-12-29 | 2014-09-03 | 英特尔公司 | 使用在物理上不可克隆的函数的安全密钥存储 |
| WO2016091790A1 (en) * | 2014-12-09 | 2016-06-16 | Koninklijke Philips N.V. | Public-key encryption system |
| US20160232381A1 (en) * | 2015-02-11 | 2016-08-11 | Electronics And Telecommunications Research Institute | Hardware security module, method of updating integrity check value stored in hardware security module, and method of updating program stored in terminal by using hardware security module |
| CN106411653A (zh) * | 2016-10-26 | 2017-02-15 | 飞天诚信科技股份有限公司 | 一种对智能密钥设备进行测试的方法及装置 |
| US20170222802A1 (en) * | 2015-12-03 | 2017-08-03 | Amazon Technologies, Inc. | Cryptographic key distribution |
-
2017
- 2017-11-21 CN CN201711163131.1A patent/CN107911215B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104025500A (zh) * | 2011-12-29 | 2014-09-03 | 英特尔公司 | 使用在物理上不可克隆的函数的安全密钥存储 |
| CN103516511A (zh) * | 2013-09-11 | 2014-01-15 | 国家电网公司 | 一种对加密算法与密钥进行检测的方法及装置 |
| WO2016091790A1 (en) * | 2014-12-09 | 2016-06-16 | Koninklijke Philips N.V. | Public-key encryption system |
| US20160232381A1 (en) * | 2015-02-11 | 2016-08-11 | Electronics And Telecommunications Research Institute | Hardware security module, method of updating integrity check value stored in hardware security module, and method of updating program stored in terminal by using hardware security module |
| US20170222802A1 (en) * | 2015-12-03 | 2017-08-03 | Amazon Technologies, Inc. | Cryptographic key distribution |
| CN106411653A (zh) * | 2016-10-26 | 2017-02-15 | 飞天诚信科技股份有限公司 | 一种对智能密钥设备进行测试的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 管乐: "通用计算平台中的密钥保护方法研究", 《中国优秀硕士学位论文》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107911215B (zh) | 2020-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108513704B (zh) | 终端主密钥的远程分发方法及其系统 | |
| CN101606400B (zh) | 交互系统和过程 | |
| US6363479B1 (en) | System and method for signing markup language data | |
| CN105450269A (zh) | 一种实现蓝牙设备间安全交互配对认证的方法及装置 | |
| CN102752115B (zh) | 挑战码生成方法及装置、动态口令认证方法及系统 | |
| CN107682159A (zh) | 一种智能终端的可信应用管理方法和可信应用管理系统 | |
| CN103067174B (zh) | 一种在移动操作系统中完成数字签名的方法和系统 | |
| NZ547903A (en) | A method of generating an authentication token and a method of authenticating an online transaction | |
| CN107196761B (zh) | 一种保护应用程序中的核心函数的方法 | |
| CN109472130A (zh) | Linux密码管理方法、中控机、可读存储介质 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN104022878B (zh) | 一种贴膜sim卡及相应的应用鉴权系统和鉴权方法 | |
| CN110289956A (zh) | 一种云音箱更新配置的方法及系统 | |
| CN110032895A (zh) | 请求处理方法、处理装置以及请求验证方法、验证装置 | |
| CN104992119A (zh) | 一种敏感信息防窃取的安全传输方法及系统 | |
| CN105741116B (zh) | 一种快捷支付方法、装置及系统 | |
| CN109391618A (zh) | 一种通信链路的建立方法及系统 | |
| CN106792700A (zh) | 一种可穿戴设备的安全通信环境的建立方法及系统 | |
| CN108183798A (zh) | 应用的实名认证方法、服务器、移动终端及可读存储介质 | |
| CN106130733A (zh) | 更新配置的方法、装置和系统 | |
| CN104125230A (zh) | 一种短信认证服务系统以及认证方法 | |
| CN110351304A (zh) | 一种不同系统间的一键切换登录实现方法及装置 | |
| CN107277007A (zh) | 一种数据加密传输方法及装置 | |
| CN109409109A (zh) | 网络服务中的数据处理方法、装置、处理器及服务器 | |
| IL140141A (en) | Transcoding in data communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |